將 Windows DC、Exchange 放入 DMZ
我公司的一個人告訴我,我應該將 FF:TMG 放在面向 Internet 的主要防火牆 (Cisco 5510) 之間,並將我的 Exchange 伺服器和 DC 放在內部網路上。
我有另一個人告訴我應該將 Exchange 伺服器和 DC 放在 DMZ 中
我並不特別喜歡將我的郵箱和 DC 的使用者名/密碼放在 DMZ 中的想法,我認為 Windows 身份驗證需要我在 DMZ 和內部網路之間打開如此多的埠,這將是一個有爭議的問題反正它在那裡。
有什麼想法?你是怎麼設置的?
交換
這取決於您使用的 Exchange 版本。如果您有 Exchange 2007 或 2010,則為生活在 DMZ 中定制了一個角色:邊緣伺服器。將該伺服器放在您的 DMZ 中,並在該伺服器和您的專用網路 Exchange Hub-Transport 伺服器之間配置正確的埠。如果您有 Exchange 2000/2003,就 InfoSec 而言,沒有好的解決方案,您幾乎無法打開 SMTP(如果您使用 OWA,則為 TCP/443)到域機器。
到
同樣,取決於您的 Exchange 版本。如果您在 2007/2010 年,邊緣伺服器被設計為在沒有與實際域控制器的任何實時連接的情況下執行,因此絕對不需要在 DMZ 中放置 DC。如果您使用的是 2000/2003,則接收 Internet 郵件的伺服器必須以某種方式連接到域,這可以連接到 DMZ 中的 DC(但沒有打開 DMZ/Internet 防火牆埠)或通過以下方式連接到專用網路上的 DC DMZ/私有防火牆策略允許流量的方式。
請記住,“DMZ”並不等同於“所有埠都打開”,您可以只打開 DMZ/Internet 和 Private/DMZ 防火牆所需的埠。您可以在 DMZ 中保留一個 Exchange 2000/2003 伺服器,並在您的專用/DMZ 防火牆中戳洞,以允許它與專用網路中的 DC 通信。是的,這是讓您的 DC 被黑客入侵的墊腳石,但如果您真的擔心升級到 Exchange 2010,Microsoft 已經為該問題設計了一個更好的解決方案。